Cybersicherheit im Zeitalter von ChatGPT: Willkommen Misstrauen
Organisationen haben sich intensiv mit einer ihrer kritischsten Cybersecurity-Komponente auseinandergesetzt: den Mitarbeitenden. Sie begegnen der „Schwachstelle Mensch“ mit kontinuierlichem Training und vertrauen mittlerweile häufig darauf, dass die Nutzer zum Beispiel potenzielle Phishing-Attacken aufgrund sprachlicher Unregelmäßigkeiten oder falscher Rechtschreibung und Grammatik erkennen.
Aber KI-gesteuerte Sprach-und Inhaltsgeneratoren wie ChatGPT sind auf dem besten Weg, diese verräterischen Elemente aus Scams, Phishing-Versuchen und anderen Social-Engineering-Angriffen zu entfernen. Eine gefälschte E-Mail vom „Vorgesetzten“ kann dank künstlicher Intelligenz überzeugender als jemals zuvor klingen und die Beschäftigten werden es unzweifelhaft schwerer haben, Fakt und Fiktion zu unterscheiden. Im Falle dieser Betrügereien sind die Risiken von KI-Sprachtools nicht technischer Art. Sie sind sozialer Natur – und damit beängstigend.
Die spezifischen Risiken von KI-generierten Phishing-Attacken
Von der Erstellung von Blogbeiträgen und Codiercode bis zum Verfassen von beruflichen E-Mails – KI-Sprachtools können all das. Die Technologien sind geschickt darin, überzeugende Inhalte zu generieren und sie sind gespenstisch gut darin, menschliche Sprachmuster nachzubilden.
Auch wenn wir bislang noch keinen Missbrauch dieser Programme für Social-Engineering- Inhalte verifizieren konnten, vermuten wir, dass dieser unmittelbar bevorsteht. ChatGPT wurde bereits verwendet, um Malware zu schreiben und wir erwarten, dass kriminelle Akteure bald schadhafte Applikationen für KI-Sprachtools entwickeln werden. Aber: Bereits heute stellt KI-generierter Phishing-Inhalt einzigartige soziale Risiken dar, die die technische Abwehr unterlaufen!
KI-Phishing-Attacken: Kann jede E-Mail eine Gefahr sein?
Nehmen wir zum Beispiel KI-erzeugte Schadsoftware: hier können existierende Sicherheitsprodukte den Codiercode in Millisekunden analysieren und zuversichtlich als sicher oder schadhaft einschätzen. Maßgeblicher noch, Technologie kann Technologie entgegenwirken.
Aber in mit künstlicher Intelligenz erstellten Phishing-Nachrichten eingebettete Worte und Nuancen können von Maschinen nicht entdeckt werden – es sind Menschen, die diese Scam-Versuche als Empfänger interpretieren werden. Da KI-Instrumente in der Lage sind, anspruchsvolle und realitische Inhalte nach Bedarf zu produzieren, können wir uns also immer weniger auf Menschen als Teil der Verteidigungslinie verlassen.
Die Rolle des Menschen wandelt sich. Es wird heißen: Technologie gegen Technologie
Diese sich rapide entwickelnde Situation erfordert eine Neubewertung der Rolle des Sicherheitstrainings im Kampf gegen Social Engineering-Attacken. Auch wenn es bislang noch keine kommerzielle Anwendung gegen KI-generierten Betrug gibt, werden zunehmend Technologien als zentrales Werkzeug zur Identifizierung und zum Schutz Einzelner vor Maschinen-erzeugten Phishing-Angriffen dienen. Menschen werden zwar auch noch eine Rolle spielen, aber nur eine sehr kleine.
Drei Prophezeiungen für das ChatGPT-Zeitalter
Auch wenn wir noch im frühen Stadium dieses neuen KI-Zeitalters sind, lässt sich bereits absehen, dass KI-erzeugter Phishing-Inhalt ein enorm wichtiges Thema für die Sicherheitsstrategie von Unternehmen wird. Folgende drei Prognosen, wie ChatGPT als Werkzeug für Cyberkriminalität eingesetzt werden könnte und welche Sicherheits-Antworten sich daraus entwickeln, scheinen dabei am wahrscheinlichsten:
- Komplexere Nutzer-Authentifizierung wird nötig werden.
Maschinen sind sehr gut darin, wie Menschen zu klingen, daher ist es nötig, in Unternehmen neue Authentifizierungs-Möglichkeiten zur Verfügung zu stellen. Das bedeutet: jede Kommunikation, die Zugang zu Unternehmensinformationen, Systemen oder monetären Elementen betrifft, muss komplexere Formen der Nutzer-Authentifikation einfordern. Bestätigung via Telefonanruf wird wahrscheinlich die geläufigste Methode zur Verifizierung dieser Arten von E-Mails oder Nachrichten werden. Unternehmen könnten zudem ein geheimes Tagespasswort einsetzen, um sich gegenüber anderen Instanzen oder Individuen zu identifizieren.
Einige Finanzinstitute operieren bereits so. Welche Form der Verifizierung auch immer zum Einsatz kommt, es ist entscheidend, dass die Methode nicht einfach von Angreifern genutzt werden kann, wenn diese Nutzer-Zugangsdaten kompromittiert haben.
Da die KI-Technologien sich rasend schnell entwickeln und immer weiterverbreiten, müssen Authentifikations-Methoden Schritt halten. Im Januar dieses Jahres hat Microsoft zum Beispiel VALL-E offengelegt, eine neue KI-Technologie, die eine menschliche Stimme nach drei Sekunden Audioaufnahme klonen kann. In der nahen Zukunft wird der Telefonanruf als Authentifizierungsanforderung also wahrscheinlich auch nicht mehr genügen…
- Legitime Nutzer verwässern die Sicherheitswarnungen: alle oder keiner
Viele Nutzer setzen ChatGPT ein, um schnell beruflichen oder werblichen Inhalt zu produzieren. Dieser legitime Gebrauch von KI-Sprachtools macht Sicherheitsantworten komplizierter, da es schwieriger wird, kriminelle Beispiele zu identifizieren.
Beispiel: Nicht alle E-Mails, die ChatGPT-erzeugten Text enthalten, sind schadhaft, wir können sie also nicht alle generell blockieren. Das führt bis zu einem gewissen Grad zur Verwässerung unserer Sicherheitsreaktion. Anbieter von Sicherheitslösungen könnten als Gegenmaßnahme „Vertrauens-Punkte“ oder andere Indikatoren entwickeln, die die Wahrscheinlichkeit beurteilen, dass eine Nachricht oder E-Mail zwar KI-generiert, aber dennoch vertrauenswürdig ist. Auch könnten sie KI-Modelle trainieren, um mit künstlicher Intelligenz erstellten Text erkennen zu können und ein „Vorsicht“-Banner auf benutzerorientierten Systemen zu platzieren. In bestimmten Fällen könnte diese Technologie Nachrichten aus der E-Mail-Inbox des Mitarbeitenden herausfiltern.
- KI-generierter Betrug wird interaktiver werden
Ich erwarte, dass KI-Sprachprogramme in Zukunft noch weitaus stärker von Kriminellen interaktiv genutzt werden, um Phishing-E-Mails oder Einmalnachrichten zu produzieren. Betrüger könnten diese Technologie einsetzen, um Individuen via Echtzeit-Chat zu manipulieren.
Nachrichtendienste wie WhatsApp, Signal oder Telegram sind durchgängig verschlüsselt, diese Plattformen sind daher nicht in der Lage, betrügerische oder KI-generierte Nachrichten in privaten Kanälen zu filtern. Das könnte sie sehr attraktiv für Betrüger machen, die auf diesen Plattformen ihren Opfern auflauern.
Auf der anderen Seite könnte diese Entwicklung Organisation dazu bringen, ihre Sicherheitslösungen zu rekonfigurieren. Womöglich werden Filtertechnologien auf individuellen Mitarbeiter-Endgeräten nötig.
Bis neue Technologien greifen, gilt: jeder Kommunikation misstrauen
KI-Sprachwerkzeuge stellen wesentliche Fragen für die Zukunft der Cybersicherheit. Es wird schwieriger, herauszufinden, was real ist und zukünftige Entwicklungen machen das nicht leichter. Technologien werden die primäre Waffe gegen KI-getriebene Cyberkriminalität sein. Aber jetzt müssen die Mitarbeitenden ran und lernen, jeder Kommunikation zu misstrauen. Im Zeitalter von ChatGPT ist das keine Überreaktion, sondern eine kritische Antwort.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
„VHS-Problem“ sorgt für grafische Datenpannen
Paul Ducklin von Sophos erklärt das Prinzip des „Überschreibens“ anhand der guten alten VHS-Kassette und gibt Sicherheitstipps für Nutzer.
Das VHS-Prinzip – Überschreiben von Altem, mit merkwürdigen Resten
Der Bildbearbeitungs-Bug beschreibt ein Phänomen, das viele von uns noch aus der Ära der VHS-Kassetten kennen: Man gehe von einer VHS-Kassette mit Lauflänge 60 Minuten aus, die Fernsehsequenz, die man aufnehmen wollte, lief aber nur 45 Minuten (besser als umgekehrt). Im Idealfall war die Kassette neu und damit unbespielt und es blieb einfach nur ein „Rauschen“, wenn der Nutzer das Band nach dem Ende der Sendung laufen ließ, bis der Videorekorder das Ende der Spule erkannte und die Kassette für das nächste Mal zurückspulte.
Im Fall einer bereits bespielten Kassette allerdings wird der Nutzer sich den letzten Teil von dem ansehen, was von der vorherigen Aufnahme übriggeblieben war und wenn diese zu Ende war, das, was davor aufgenommen wurde, oder die Zeit davor, und so weiter. Wenn nicht zuerst das gesamte Band gelöscht wurde, bevor es neu bespielt wurde, blieben fast immer unerwartete und vielleicht unerwünschte Inhalte am Ende übrig.
So ähnlich verhält es sich auch mit dem Fehler in den Bildbearbeitungsprogrammen von Windows 11 sowie der Google-Pixel-Telefone.
Kodierungsfehler in der Software – der Rattenschwanz bleibt
Die beanstandete Software Markup von Google Pixel zum Beispiel ermöglicht es, Fotos oder Screenshots, die sich bereits auf dem Nutzer-Telefon befinden, zu beschneiden oder anderweitig zu bearbeiten, um unerwünschte Details wie Benutzernamen, Konto-ID, Gesichter, Kennzeichen etc. zu entfernen, bevor man sie an Freunde senden oder auf Online-Diensten hochladen kann.
Bis vor rund zwei Jahren hat Markup kleinere Bilder bearbeitet, indem es das neue Bild über das alte geschrieben und dann die Bilddatei auf die neue, kürzere Größe abgeschnitten hat. Die alten Daten – in unserer Videorekorder-Analogie das Ende des Vorher-Aufgenommenen – blieben auf dem Speichergerät zurück, aber sie waren nicht mehr Teil der digitalen Datei, die das neue Bild enthält.
Mit anderen Worten: Öffnete der Nutzer die neue Datei, hatte er nicht das alte Problem der Bildreste wie beim Videorekorder, denn das Betriebssystem wusste, dass es das Lesen (oder Kopieren) der Datei an der richtigen Stelle beenden muss.
Ein Angreifer bräuchte so normalerweise physischen Zugang zu dem Telefon, müsste wissen, wie man es entsperrt und Root-Rechte erhält, um in der Lage zu sein, ein forensisches Abbild der ungenutzten Daten zu erstellen, um alle zuvor gelöschten Daten wiederherzustellen.
„Öffnen im Überschreibmodus ohne Abschneiden nach Abschluss“
Wie mittlerweile bekannt ist, wurde die Java-Programmierfunktion in Markup vor rund zwei Jahren in „Öffnen im Überschreibmodus ohne Abschneiden nach Abschluss“ geändert. Das, was man also vielleicht herauslöschen möchte, bleibt stur erhalten! Damit können die meisten zwar nichts anfangen, aber einige Findige (mit womöglich unsauberen Absichten) dennoch.
Was sollte man jetzt tun?
1. Patchen
Google hat ein Sicherheitsupdate für Android veröffentlicht, die Kennung lautet CVE-2023-20136.
2. Überprüfen der bereits freigegebenen Bilder
Überprüfen Sie Bilder, die Sie bereits freigegeben haben. Für Bilder, die Sie bereits beschnitten und freigegeben haben, ist es zu spät, um sie zu korrigieren. Sie sollten jedoch in Erwägung ziehen, sie trotzdem zu entfernen oder sie durch neu bearbeitete Bilder zu ersetzen, die mit der gepatchten Version von Markup erstellt wurden.
3. Bilder lieber konservativ bearbeiten
Eine Überlegung ist, sicherheitskritische Bilder auf dem Laptop lieber konservativ zu bearbeiten. Dateiformate wie PNG (Portable Network Graphics) können auch Kommentare und so genannte Metadaten (z. B. Standortinformationen oder Kameradetails) enthalten, die opak bleiben sollten.
Befehlszeilen-Tools zur Bildbearbeitung wie ImageMagick oder GraphicsMagick und Open-Source-Tools wie das GNU Image Manipulation Program ermöglichen es, bearbeitete Bilder in Formate zu konvertieren, bei denen sich der Inhalt genau kontrollieren lässt.
RGB-Rohdateien beispielsweise enthalten nur die Farbwerte jedes Pixels im Bild, ohne Kopfzeilen, Metadaten, Kommentarfelder oder andere Fremdinformationen oder Pixel.
Die Transkodierung eines Bildes in das RGB-Format und dann wieder zurück, z. B. in PNG, ist also eine Möglichkeit, um sicherzustellen, dass der Nutzer eine völlig neue Datei erstellt, die nichts darüber „weiß", wo oder wie das ursprüngliche Bild erstellt wurde oder welche nun gelöschten Daten es zuvor enthalten haben könnte.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
ChatGPT als nützlicher Cybersecurity-Co-Pilot
„Seit der Vorstellung von ChatGPT durch OpenAI im November 2022 hat sich die Sicherheitsbranche weitgehend auf die potenziellen Risiken konzentriert, die diese neue Technologie mit sich bringen könnte. Kann die KI den Möchtegern-Angreifern beim Schreiben von Malware oder Cyberkriminellen beim Verfassen überzeugenderer Phishing-E-Mails helfen? Vielleicht, aber wir bei Sophos sehen KI seit jeher als Verbündeten und nicht als Feind für die Verteidigung, was sie zu einer Eckpfeilertechnologie für Sophos macht, und das gilt auch für GPT-3. Die Sicherheitsbranche sollte nicht nur auf die potenziellen Risiken der Technologie achten, sondern auch auf die möglichen Chancen", sagt Sean Gallagher, Principal Threat Researcher bei Sophos.
Die Forscher von Sophos X-Ops arbeiten an drei Prototyp-Projekten, die das Potenzial von GPT-3 als Assistent für Cybersecurity-Verteidiger demonstrieren. Alle drei Projekte nutzen eine Technik namens „few-shot learning", um das KI-Modell mit nur wenigen Datenproben zu trainieren und so die Notwendigkeit zu verringern, eine große Menge an vorklassifizierten Daten zu sammeln.
Die erste Anwendung, die Sophos mit der „few-shot learning"-Methode getestet hat, war ein Natural Language Query Interface zum Durchsuchen bösartiger Aktivitäten in der Telemetrie von Sicherheitssoftware. Sophos hat das Modell insbesondere mit seiner Endpoint Detection and Response-Lösung geprüft. Mit dieser Schnittstelle können Verteidiger die Telemetrie mit einfachen englischen Befehlen filtern, ohne SQL oder die zugrunde liegende Struktur einer Datenbank verstehen zu müssen.
Als nächstes testete Sophos einen neuen Spam-Filter mit ChatGPT und stellte fest, dass der Filter mit GPT-3 im Vergleich zu anderen maschinellen Lernmodellen für die Spam-Filterung deutlich genauer war. Schließlich konnten die Forscher von Sophos ein Programm erstellen, das das Reverse-Engineering der Befehlszeilen von LOLBins vereinfacht. Ein solches Reverse-Engineering ist bekanntermaßen schwierig, aber auch entscheidend, um das Verhalten von LOLBins zu verstehen und diese Art von Angriffen in Zukunft zu unterbinden.
„Eine der wachsenden Sorgen in SOCs (Security Operation Center) ist die schiere Menge an ‚Lärm‘, die hereinkommt. Es gibt einfach zu viele Meldungen und Erkennungen, die sortiert werden müssen, und viele Unternehmen haben mit begrenzten Ressourcen zu kämpfen. Wir haben bewiesen, dass wir mit GPT-3 bestimmte arbeitsintensive Prozesse vereinfachen und den Verteidigern wertvolle Zeit zurückgeben können. Wir arbeiten bereits daran, einige der oben genannten Prototypen in unsere Produkte zu integrieren und haben die Ergebnisse unserer Bemühungen auf unserem GitHub für diejenigen bereitgestellt, die GPT-3 in ihren eigenen Analyseumgebungen testen möchten. Wir glauben, dass GPT-3 in Zukunft sehr wohl ein Co-Pilot für Sicherheitsexperten werden kann", so Gallagher.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Mit Künstlicher Intelligenz und dem ChatGPT-Algorithmus auf der Jagd nach Cyberkriminellen
GPT-3 bietet enorme Potenziale für die IT-Security
GPT-3 ist ein vortrainiertes, umfangreiches Sprachmodell, dessen Flexibilität und Genauigkeit durchaus bahnbrechend sind. Und genau an dieser Stelle ist die menschliche Kreativität von Sophos AI gefragt, nämlich wo und wie sich diese Technologie sinnvoll im Kampf gegen Cyberkriminalität einsetzen lässt. Denn wenn Eingabe- und Ausgabedaten in Text umgewandelt werden können, sind die Anwendungsmöglichkeiten von GPT-3 auch in diesem Bereich endlos. Zum Beispiel könnte man GPT-3 bitten, aus einer Funktionsbeschreibung funktionierenden Python-Code zu schreiben oder eine Klassifizierungsanwendung mit nur wenigen Beispielen erstellen.
Die Experten von Sophos AI sehen in GPT-3 enorme Potentiale. Beispielsweise ist es relativ einfach, einen unmarkierten Datensatz zu finden; allerdings ist es meist sehr zeitaufwändig und schwierig, einen markierten Datensatz für das Training eines herkömmlichen maschinellen Lernmodells zu erstellen. Herkömmliche maschinelle Lernmodelle, die mit wenigen Beispielen trainiert werden, weisen häufig Probleme mit der Überanpassung auf. Sprich, sie lassen sich nicht gut auf zuvor nicht existente Beispiele verallgemeinern. Mit dem GPT-3 „Few-Shot Learning“ hingegen benötigt Sophos AI nur wenige kommentierte Trainingsbeispiele und übertrifft damit herkömmliche Modelle. Da GPT-3 selbstüberwacht und in großem Umfang trainiert wurde, hat sich gezeigt, dass es bei mehreren Klassifizierungsproblemen mit nur wenigen Beispielen gut abschneidet.
Zwei Beispiele für die konkrete Anwendung:
Spam-Erkennung
Es ist eine Herausforderung, ein leistungsstarkes Spam-Klassifizierungsmodell mit nur vier unkritischen und vier Spam-Beispielen zu trainieren. Herkömmliche Klassifizierungsmodelle benötigen oft einen großen Trainingsdatensatz, um genügend Signale zu lernen. Da GPT-3 jedoch ein Sprachmodell ist, das mit einem großen Textdatensatz trainiert wurde, kann es die Intension einer Klassifizierungsaufgabe erkennen und die Aufgabe mit wenigen Beispielen lösen.
Beim Lernen mit wenigen Beispielen ist das Prompt-Engineering, bei dem das Format der Eingabedaten für Textvervollständigungsaufgaben entworfen wird, ein wichtiger Schritt. Abbildung 1 zeigt den Prompt für eine Spam-Klassifizierungsaufgabe.
Der Prompt enthält eine Anweisung und einige Beispiele mit ihren Beschriftungen als Support-Set, und im letzten Abschnitt ist ein Abfragebeispiel angefügt. Anschließend wird GPT-3 aufgefordert, aus der Eingabe eine Antwort als Label-Predication zu generieren.
Vergleicht man die Klassifizierungsergebnisse zwischen traditionellen ML-Modellen und dem „Few-Shot-Learning“ mit GPT-3, ist schnell zu erkennen, dass es die traditionellen ML-Modelle wie logistische Regression und „Random Forest“ deutlich übertrifft. Dies liegt daran, dass das „Few-Shot-Learning“ die Kontextinformationen der gegebenen Beispiele nutzt und das Label des ähnlichsten Beispiels als Ausgabe auswählt. Dadurch erfordert GPT-3 kein erneutes Training, sondern ermöglicht es, ein leistungsstarkes Klassifizierungsmodell mit einfachem Prompt-Engineering zu erstellen.
Lesbaren Erklärungen für schwer zu entzifferndem Code
Das Reverse Engineering von Befehlszeilen ist selbst für Sicherheitsexperten eine schwierige und zeitraubende Aufgabe. Noch schwieriger ist es, „Living-off-the-Land"-Befehle zu verstehen, denn diese sind lang und enthalten schwer zu analysierende Zeichenketten. Angreifer nutzen hierfür Standard-Apps und Standard-Prozesse auf dem Computer ihrer Opfer, um beispielsweise Phishing-Aktivitäten zu tarnen. GPT-3kann eine Befehlszeile in eine verständliche Beschreibung übersetzen – zum Beispiel aus einer gegebenen Beschreibung des Codes einen funktionierenden Python- oder Java-Code schreiben. Es ist auch möglich, GPT-3 zu bitten, mehrere Beschreibungen aus einer Befehlszeile zu generieren, und die ausgegebenen Beschreibungen werden mit Token-Wahrscheinlichkeiten auf Wortebene versehen, um den besten Kandidaten auszuwählen. Der Ansatz von Sophos AI zur Auswahl der besten Beschreibung aus mehreren Varianten ist die Verwendung einer Rückübersetzungsmethode, die diejenige Beschreibung auswählt, die die ähnlichste Befehlszeile zur Eingabebefehlszeile erzeugen kann.
„GPT-3 ist ein Meilenstein für die Cybersicherheit, da es Spam erkennen und komplexe Befehlszeilen mit wenigen Beispielen analysieren kann“, so die Experten des Sophos AI Teams. „Die Flexibilität von GPT-3 eignet sich sehr gut für den Kampf gegen die sich ständig weiterentwickelnden Cyber-Bedrohungen. Wir gehen davon aus, dass in Kürze auch die noch schwierigeren Cybersicherheitsprobleme mit entsprechend größeren neuronalen Netzwerkmodellen adressiert werden können.“
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Chatbots auf dem Vormarsch: Künstliche Intelligenz ist jetzt der natürlichen Ignoranz gewachsen
Chester Wisniewski, Cybersecurity-Experte bei Sophos
Der auf künstlicher Intelligenz basierende Chatbot ChatGPT macht weltweit Schlagzeilen – und neben den Meldungen im Börsen- und Urheberrechtsumfeld, steht auch die IT-Sicherheit im Fokus der Diskussionen. Denn die seit kurzem realisierte, breitere Verfügbarkeit des Tools bringt trotz aller Sicherheitsbemühungen des Herstellers neue Herausforderungen mit sich, wenn es um Phishing-Köder oder dialogorientierte Betrugsmaschen wie Romance Scams über soziale Netzwerke oder geschäftlich ausgerichtete Kompromittierungsangriffe via E-Mail geht.
„Eines der größten Risiken besteht darin, dass Angreifer diese Plattformen nutzen, um die Qualität ihrer Phishing-Köder erheblich zu verbessern. Damit sind Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren“, so Chet Wisniewski, Cybersecurity-Experte bei Sophos. „Letztendlich liefern die immer besseren KI-Chatbots ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen. Programme wie ChatGPT können dazu genutzt werden, kriminell orientierte, sehr realistische, interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps zu starten. Heute besteht die größte Gefahr für die englischsprachige Zielgruppe. Es ist aber wahrscheinlich nur eine Frage der Zeit, bis neue Versionen verfügbar sind, um glaubwürdige Texte in allen häufig gesprochenen Sprachen der Welt zu erstellen. Wir haben ein Stadium erreicht, in dem Menschen immer öfter nicht in der Lage sind, maschinengenerierte Prosa von der von Menschen geschriebenen zu unterscheiden – im Besonderen, wenn wir das Gegenüber nicht gut kennen.“
Diese Entwicklung bildet eine Zäsur für bislang bestehende Standards im Bereich Mitarbeiterschulung und IT-Sicherheit. Die Zeiten, in denen sich Unternehmen darauf verlassen konnten, dass die Mitarbeiter eine aktive Rolle bei der Verteidigung gegen Cyberattacken spielen, in dem sie auf Grammatik- und Rechtschreibfehler oder seltsame Formulierungen achten, sind vorbei. Eines der letzten effizienten Elemente von Schulungsprogrammen wird durch Chatbots wie ChatGPT ausgehebelt – und das sehr effektiv, wie die folgenden zwei Beispiele verdeutlichen.
Der originale Ködertext eines BEC-Betrügers (Business E-Mail Compromise), der versucht, den Gehaltsscheck einer anderen Person auf das Konto des Angreifers umzuleiten, ist relativ einfach als „nicht echt“ zu erkennen. Im Vergleich dazu steht im Anschluss eine Variante, die durch die Eingabe der entsprechenden thematischen Eckpunkte von ChatGPT geschrieben wurde.
Standard Betrugs-E-Mail:
Hi ….,
I changed my banks because of my old account is no longer good to accept dd payment and I’ll like to change my paycheck direct deposit details, can the change be effective for the current pay date?
Thanks, ….
Von ChatGPT geschriebener Text:
Dear HR,
I am writing to request that you update my direct deposit information in the company’s payroll system. My current bank account information is no longer valid and I will be switching to a new bank.
Could you please let me know what information you need in order to update my direct deposit information? I am happy to provide any necessary details.
I would also like to request that this update be made in time for the next payroll period. Is there anything else I need to do to ensure a smooth transition?
Thank you for your attention in this matter. I appreciate your help in ensuring that my paychecks are deposited into the correct account.
Sincerely,
[Your name]
Und auch das folgende Beispiel für einen Geschenkkartenbetrug macht schnell deutlich, wie gut die KI-Chatbots mittlerweile sind.
Standard Betrugs-E-Mail:
Please, I need you to purchase gift cards. We have a few clients I want to send gifts to. How quickly can you arrange these? Because I need to send them out in less than 1 hour. So can I tell you which product we will need and the amount?
Thanks.
Von ChatGPT geschriebener Text:
Hey [Employee]
I hope you’re doing well. I’m reaching out because I need your help with something really important.
I have a client who needs a gift card ASAP, and I don’t have time to get it myself. Would you be able to pick up a gift card from [store or e-gift card website] for [amount] and send it to me via email as soon as possible?
I know this might be a bit of inconvenience, but I really appreciate your help in getting this taken care of quickly. If you have any questions of need more info, just let me know.
Thanks a ton for your help.
Take care,
[Your name]
Wisniewski über seine „Kreativarbeit“ mit dem Chatbot: „Beide Beispiele klingen wie die E-Mail einer realen Person, haben gute Zeichensetzung, Rechtschreibung und Grammatik. Sind sie perfekt? Nein. Sind sie gut genug? Auf jeden Fall! Da Betrüger bereits Millionen mit ihren schlecht gefertigten Ködern verdienen, lässt sich die neue Dimension dieser KI-gepushten Kommunikation leicht vorstellen. Stellen sie sich vor, sie würden mit diesem Bot über WhatsApp oder Microsoft Teams chatten. Hätten sie die Maschine erkannt?“
Fakt ist, dass nahezu alle Anwendungsarten im Bereich KI bereits an einem Punkt angelangt sind, an dem sie einen Menschen in fast 100% der Fälle täuschen können. Die Qualität des „Gesprächs“, das mit ChatGPT geführt werden kann, ist bemerkenswert, und die Fähigkeit, gefälschte menschliche Gesichter zu erzeugen, die (für Menschen) von echten Fotos fast nicht zu unterscheiden sind, ist beispielsweise ebenfalls bereits Realität. Das kriminelle Potential solchen Technologien ist immens, wie ein Beispiel deutlich macht: Kriminelle, die einen Betrug über eine Scheinfirma abwickeln wollen, generieren sich einfach 25 Gesichter und verwenden ChatGPT, um deren Biografien zu schreiben. Dazu noch ein paar gefälschte LinkedIn-Konten und es kann losgehen.
Im Umkehrschluss muss sich auch die „gute Seite“ der Technologie zuwenden, um Paroli bieten zu können. „Wir alle müssen unsere Iron-Man-Anzüge anziehen, wenn wir den immer gefährlicher werdenden Gewässern des Internets trotzen wollen“, so Wisniewski. „Es sieht zunehmend so aus, als würden wir Maschinen brauchen, um zu erkennen, wenn andere Maschinen versuchen, uns zu täuschen. Ein interessanter Proof of Concept wurde von Hugging Face entwickelt, das Texte erkennen kann, die mit GPT-2 generiert wurden – was darauf hindeutet, dass ähnliche Techniken verwendet werden könnten, um GPT-3-Ausgaben zu erkennen.“
„Traurig aber wahr: KI hat den letzten Nagel in den Sarg des Endbenutzer-Sicherheitsbewusstseins geschlagen. Will ich damit sagen, dass wir ganz damit aufhören sollten? Nein, aber wir müssen unsere Erwartungen zurückschrauben. Es schadet auf keinen Fall, die bislang und oftmals immer noch geltenden Best Practices in Sachen IT-Sicherheit zu befolgen. Wir müssen die Benutzer dazu animieren, noch misstrauischer als bislang zu sein und vor allem auch fehlerfreie Mitteilungen gewissenhaft zu überprüfen, die den Zugang zu persönlichen Informationen oder monetäre Elemente enthalten. Es geht darum, Fragen zu stellen, um Hilfe zu bitten und sich die wenigen Momente zusätzlicher Zeit zu nehmen, die notwendig sind, um zu bestätigen, dass die Dinge wirklich so sind, wie sie scheinen. Das ist keine Paranoia, sondern der Wille, sich von den Gaunern nicht übers Ohr hauen zu lassen.“
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Neue Spielart bei Ransomware-Attacken
- Sophos vereitelt Ransomware-Angriff durch seltenen, bösartigen Treiber, der mit einem gültigen digitalen Zertifikat signiert ist
- Treiber zielt auf Endpoint Detection and Response (EDR)-Software ab
- Angriffe stehen in Verbindung mit der Cuba Ransomware Group
Sophos hat Schadcode in mehreren Treibern gefunden, die mit legitimen digitalen Zertifikaten signiert sind. Der neue Report „Signed Driver Malware Moves up the Software Trust Chain“ beschreibt die Untersuchung, die mit einem versuchten Ransomware-Angriff begann. Die Angreifer verwendeten einen bösartigen Treiber, der mit einem legitimen digitalen Windows Hardware Compatibility Publisher-Zertifikat von Microsoft signiert war.
Der maliziöse Treiber zielt speziell auf Prozesse ab, die von wichtigen Endpoint Detection and Response (EDR)-Softwarepaketen verwendet werden. Er wurde von einer Malware installiert, die mit Bedrohungsakteuren im Umfeld der Cuba Ransomware Goup in Verbindung gebracht wird – einer äußerst produktiven Gruppe, die im vergangenen Jahr weltweit mehr als 100 Unternehmen erfolgreich angegriffen hat. Sophos Rapid Response konnte den Angriff erfolgreich vereiteln. Diese Untersuchung löste eine umfassende Zusammenarbeit zwischen Sophos und Microsoft aus, um Maßnahmen zu ergreifen und die Bedrohung zu beseitigen.
Schadhafte Treiber mit gestohlenen Zertifikaten signiert
Treiber können hoch privilegierte Operationen auf Systemen durchführen. So können Kernel-Mode-Treiber unter anderem viele Arten von Software, einschließlich Sicherheitssoftware, beenden. Die Kontrolle darüber, welche Treiber geladen werden können, ist eine Möglichkeit, Computer vor dieser Art von Angriffen zu schützen. Windows verlangt, dass Treiber eine kryptografische Signatur – einen "Genehmigungsstempel" – tragen, bevor der Treiber geladen werden kann.
Allerdings sind nicht alle digitalen Zertifikate, die zum Signieren von Treibern verwendet werden, gleichermaßen vertrauenswürdig. Einige gestohlene und ins Internet gelangte digitale Signierzertifikate wurden später zum Signieren von Malware missbraucht; andere Zertifikate wurden von skrupellosen PUA-Softwareherstellern gekauft und verwendet. Sophos‘ Untersuchung eines schädlichen Treibers, der zur Sabotage von Endpoint Security-Tools während eines Ransomware-Angriffs verwendet wurde, ergab, dass die Angreifer konzertiert vorgingen, um sich von weniger vertrauenswürdigen zu immer vertrauenswürdigeren digitalen Zertifikaten zu bewegen.
Cuba höchstwahrscheinlich involviert
„Diese Angreifer, höchstwahrscheinlich Mitglieder der Ransomware-Gruppe Cuba, wissen, was sie tun – und sie sind hartnäckig“, sagt Christopher Budd, Senior Manager, Threat Research bei Sophos. „Wir haben insgesamt zehn bösartige Treiber gefunden, die alle Varianten der ursprünglichen Entdeckung sind. Diese Treiber zeigen ein konzertiertes Bestreben, in der Vertrauenswürdigkeit aufzusteigen, wobei der älteste Treiber mindestens bis Juli zurückreicht. Die ältesten Treiber, die wir bisher gefunden haben, waren mit Zertifikaten unbekannter chinesischer Unternehmen signiert. Danach haben sie es geschafft, den Treiber mit einem gültigen, durchgesickerten und widerrufenen NVIDIA-Zertifikat zu signieren. Jetzt verwenden sie ein legitimes Windows Hardware Compatibility Publisher Digital Zertifikat von Microsoft, einer der vertrauenswürdigsten Instanzen im Windows-Ökosystem. Wenn man aus der Sicherheitsperspektive eines Unternehmens betrachtet, haben die Angreifer gültige Unternehmensausweise erhalten, um das Gebäude ohne Fragen zu betreten und zu tun, was sie wollen", so Christopher Budd weiter.
Eine genauere Untersuchung der ausführbaren Dateien, die bei dem versuchten Ransomware-Angriff verwendet wurden, ergab, dass der bösartige, signierte Treiber mit einer Variante des Loaders BURNTCIGAR auf das Zielsystem heruntergeladen wurde, einer bekannten Malware, die der Ransomware-Gruppe Cuba angehört. Sobald der Loader den Treiber auf das System heruntergeladen hat, wartet er darauf, dass einer von 186 verschiedenen Programmdateinamen, die üblicherweise von wichtigen Endpunktsicherheits- und EDR-Softwarepaketen verwendet werden, gestartet wird, und versucht dann, diese Prozesse zu beenden. Wenn dies gelingt, können die Angreifer die Ransomware einsetzen.
Aktueller Trend: Versuch alle gängigen EDR-Produkte zu umgehen
„Im Jahr 2022 haben wir beobachtet, dass Ransomware-Angreifer zunehmend versuchen, die EDR-Produkte vieler, wenn nicht sogar der meisten großen Hersteller zu umgehen“, so Christopher Budd weiter. „Die gebräuchlichste Technik ist als ‚Bring your own driver‘ bekannt, die BlackByte vor kurzem verwendet hat. Dabei nutzen die Angreifer eine bestehende Schwachstelle in einem legitimen Treiber aus. Es ist weitaus schwieriger, einen bösartigen Treiber von Grund auf neu zu erstellen und ihn von einer legitimen Behörde signieren zu lassen. Sollte dies jedoch gelingen, ist es unglaublich effektiv, da der Treiber beliebige Prozesse ausführen kann, ohne dass dies in Frage gestellt wird.“
Im Fall dieses speziellen Treibers ist praktisch jede EDR-Software anfällig. Glücklicherweise konnten die zusätzlichen Manipulationsschutzmaßnahmen von Sophos den Ransomware-Angriff stoppen. Die Sicherheits-Community muss sich dieser Bedrohung bewusst sein, damit sie zusätzliche Sicherheitsmaßnahmen implementieren kann. Es ist davon auszugehen, dass weitere Angreifer dieses Modell nachahmen werden.“
Sophos hat nach Entdeckung des Treibers umgehend mit Microsoft zusammengearbeitet, um das Problem zu beheben. Microsoft hat in seinem Sicherheitshinweis weitere Informationen veröffentlicht und im Rahmen des Patch Tuesday veröffentlicht.
Weitere Informationen zu diesem Thema finden Sie in dem Artikel „Signed Driver Malware Moves up the Software Trust Chain“ auf Sophos.com.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Sophos mit Bestergebnissen bei aktuellen Tests von MITRE ATT&CK und SE Labs
– Sophos Intercept X erhält drei AAA-Awards von SE Labs für Schutz und Genauigkeit
– Sophos MDR erkennt 100% in der MITRE Engenuity ATT&CK Evaluation
Sophos kann heute gleich zwei Auszeichnungen verkünden: Die Endpoint-Security-Lösung Sophos Intercept X gehört zu den Branchenbesten der SE Labs Protection Tests im dritten Quartal 2022 und erhält AAA-Ratings in allen drei Kategorien. Zudem hat Sophos MDR in der ersten MITRE Engenuity ATT&CK Evaluation von Sicherheitsdienstleistern maximal gepunktet: Erkennungsrate 100 Prozent.
Triple bei SE Labs
In den Kategorien Enterprise, SMB und Consumer erreichten die Sophos Endpoint-Security-Lösungen bei SE Labs eine 100-Prozent-Bewertung für Schutzgenauigkeit, Legitimationsgenauigkeit und Gesamtgenauigkeit.
Jede Lösung hatte die gleichen Bedrohungen zu meistern, eine Mischung aus gezielten Angriffen mit etablierten Techniken sowie E-Mail und Web-basierte Bedrohungen, die zum Zeitpunkt des Tests live im Internet zu finden waren. Sophos Intercept X stoppte sämtliche Bedrohungen und erlaubte gleichzeitig legitime Anwendungen.
Volle Erkennungsrate aller MITRE ATT&CK Steps
Erstmals wurde bei Security Service Providern die Erkennung von MITRE ATT&CK Steps in einer MITRE Engenuity ATT&CK Evaluation getestet. In dieser unabhängigen Evaluation erkannte und meldete Sophos MDR alle zehn MITRE ATT&CK®-Schritte. Sophos MDR wurde zusammen mit 15 weiteren Anbietern bewertet und zeichnete sich durch seine Fähigkeit aus, komplexe Bedrohungen schnell und präzise zu erkennen.
„Die Komplexität und Raffinesse der heutigen Cyberbedrohungen macht es für die meisten Unternehmen immer schwieriger, diese im eigenen Team effektiv zu bewältigen. Managed Security Service-Partner, die nicht nur aktiv und in Echtzeit Bedrohungen erkennen, sondern für die Kunden zielgerichtet und effizient reagieren, sind daher entscheidend für den Schutz", sagt Mat Gangwer, Vice President of Operations bei Sophos MDR.
Folgen Sie uns auf und
LinkedIn: https://www.linkedin.com/groups/9054356/
Twitter: @sophos_info
Sophos ist ein weltweit führender und innovativer Anbieter von fortschrittlichen Cybersecurity-Lösungen, darunter Managed Detection and Response (MDR)- und Incident-Response-Dienste. Das Unternehmen bietet ein breites Portfolio an Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitstechnologien, das bei der Abwehr von Cyberangriffen unterstützt. Als einer der größten auf Cybersecurity spezialisierten Anbieter schützt Sophos mehr als 500.000 Unternehmen und mehr als 100 Millionen Anwender weltweit vor aktiven Angriffen, Ransomware, Phishing, Malware und vielem mehr.
Die Dienste und Produkte von Sophos werden über die cloudbasierte Management-Konsole Sophos Central verbunden und vom bereichsübergreifenden Threat-Intelligence-Expertenteam Sophos X-Ops unterstützt. Die Erkenntnisse von Sophos X-Ops erweitern das gesamte Sophos Adaptive Cybersecurity Ecosystem. Dazu gehört auch ein zentraler Datenspeicher, der eine Vielzahl offener APIs nutzt, die Kunden, Partnern, Entwicklern und anderen Anbietern von Cybersecurity und Informationstechnologie zur Verfügung stehen. Sophos bietet Cybersecurity-as-a-Service für Unternehmen an, die vollständig verwaltete, schlüsselfertige Sicherheitslösungen benötigen. Kunden können ihre Cybersecurity auch direkt mit der Security Operations Platform von Sophos verwalten oder einen hybriden Ansatz verfolgen, indem sie ihre internen Teams mit Sophos Services ergänzen, einschließlich Threat Hunting und Systemwiederherstellung.
Sophos vertreibt seine Produkte über Reseller und Managed Service Provider (MSPs) weltweit. Der Hauptsitz von Sophos befindet sich in Oxford, U.K.
Weitere Informationen unter: www.sophos.de
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Makros sind out – Cyberkriminelle verlegen sich für die Malware-Verbreitung auf Disk-Images und Archivformate
Im Februar dieses Jahres kündigte Microsoft an, dass es Makros aus dem Internet standardmäßig blockieren würde. Solche Makros werden seit Jahren von Angreifern missbraucht, um Malware zu übermitteln. Während die Sicherheits-Community spekulierte, dass Angreifer aufgrund der Entscheidung von Microsoft auf alternative Formate ausweichen würden, hat Sophos diese Tatsache anhand seiner Telemetriedaten bereits bestätigt.
Von April bis September dieses Jahres hat Sophos einen starken Rückgang der Anzahl schädlicher DOC-, DOCM-, XLS- und XLSM-Dateien festgestellt – vier beliebte Office-Formate für die Verbreitung schädlicher Makros.
Gleichzeitig war bis Mitte Juni ein stetiger Anstieg der Verwendung obskurer Archivformate (ACE, ARJ, XZ, GZ oder LZH) und ab September ein starker Anstieg der gängigeren Archivformate (ZIP, 7Z, CAB, TAR und RAR) zu verzeichnen. Auch die Verwendung von Disk-Image-Formaten (ISO, VHD und UDF) für die Verbreitung von Malware hat stetig zugenommen.
Disk-Image-Formate sind für Bedrohungsakteure besonders attraktiv, weil sie Microsofts neue "Mark of the Web"-Funktion (MOTW) umgehen. Microsoft verwendet MOTW, um festzustellen, ob ein Makro aus dem Internet stammt oder nicht; ist dies der Fall, wird es automatisch blockiert.
Sicherheitsprodukte sollten außerdem in der Lage sein, mehrere Archiv- und Disk-Image-Formate zu entpacken, darunter auch unbeliebte Formate, um diese Anhänge ordnungsgemäß auf Malware zu untersuchen. Um die Risiken weiter zu minimieren, können E-Mail-Filter so konfiguriert werden, dass bestimmte Dateiformate standardmäßig blockiert werden. Denn E-Mails zählen nach wie vor zu den Hauptangriffsvektoren.
Chester Wisniewski, Principal Research Scientist bei Sophos, sagt: "Wir geben schon seit Jahren dieselben Ratschläge für die E-Mail-Sicherheit. Dinge wie ‚Klicken Sie nicht auf diesen Link‘ oder ‚Öffnen Sie keine gefährlichen Attachments‘. Die Realität ist, dass sich die Cybersicherheitslandschaft ständig verändert. Es ist unwahrscheinlich, dass Cyberkriminelle Makros vollständig aufgeben werden, denn sie passen sich mit hoher Wahrscheinlichkeit an diese neuesten Sicherheitsmaßnahmen von Microsoft an. Die Unternehmen sollten das Gleiche tun. Eine gute E-Mail-Sicherheit muss zentral verwaltet werden, wobei sich die Sicherheitsteams auf die technischen Aspekte konzentrieren, z. B. darauf, welche Dateierweiterungen gefährlich sind. Zudem gilt es die Benutzer zu schulen, wie sie vermeiden können, auf das trickreiche Social Engineering der Cyberkriminellen hereinzufallen.“
Weitere Informationen über die Umstellung von Makros auf Disk-Images und Archivformate finden sich in englischer Sprache auf Sophos.com.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Sophos stellt weitere KI-Ressourcen in den Dienst der Open-Source-Gemeinde
Aus diesem Grund hat SophosAI die Leistungsfähigkeit des maschinellen Lernens in YARA eingebracht. Mit dem neuen YaraML-Tool, das als Open-Source-Tool unter Apache 2.0 veröffentlicht wurde, können Incident-Response und Malware-Forscher gebrauchsfertige YARA-Regeln bereitstellen, die aus einem Datensatz mit als bösartig/gutartig gekennzeichneten Daten generiert werden. Joshua Saxe, Chef des SophosAI-Teams, hat YaraML so entwickelt, dass das Tool ohne vorherige Erfahrung mit maschinellem Lernen verwendet werden kann. Gleichzeitig ermöglicht es fortgeschrittenen Benutzern, die bereits Erfahrungen mit maschinellen Lernprojekten haben, benutzerdefinierte Parameter festzulegen.
YaraML analysiert einen Datensatz gutartig und bösartig gekennzeichneter Zeichenfolgenartefakte, um YARA-Regeln zu erstellen und Muster zu extrahieren, die zum Identifizieren schädlicher Zeichenfolgenartefakte mit YARA verwendet werden können. Nähere Einzelheiten zur Analyse und Nutzung des Tools gibt es in einem umfangreichen Blogeintrag zu dem Thema.
Mit der aktuellen Initiative setzt Sophos seine Offensive zur herstellerübergreifenden Förderung gemeinsamer Innnovationen im Bereich IT-Sicherheit weiter fort. Im Dezember 2021 wurden bereits vier neue Entwicklungen im Bereich offener Künstliche Intelligenz (KI) für Open-Source-Anwender veröffentlicht, die dazu beitragen, den Schutz gegen Cyberangriffe branchenweit zu optimieren.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Illegaler Zugang zu Unternehmensdaten: Cookie-Klau ist zunehmend im Trend
- Cyberkriminelle nutzen gestohlene Cookies, um Multi-Faktor-Authentifizierungen zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten
- Mit gestohlenen Cookies können sich Angreifer als rechtmäßige Benutzer ausgeben und frei im Unternehmens-Netzwerk bewegen.
Sophos beschreibt im neuesten X-Ops Report "Cookie stealing: the new perimeter bypass", dass Cyberkriminelle zunehmend gestohlene Session-Cookies nutzen, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten. In einigen Fällen ist der Cookie-Diebstahl eine gezielte Attacke, bei der Cookie-Daten von kompromittierten Systemen ausgelesen werden. Dabei nutzen die Kriminellen legitime ausführbare Dateien, um ihre Aktivitäten zu verschleiern.
Sobald sie mithilfe der Cookies einen Zugang zu web- oder cloudbasierten oder Unternehmens-Ressourcen haben, können sie diese für weitere Angriffe nutzen. Dazu gehören beispielsweise die Kompromittierung von E-Mails oder Social Engineering, um zusätzliche Systemzugänge zu ergaunern oder sogar für die Änderung von Daten oder Quellcode-Repositories zu sorgen.
„Im vergangenen Jahr haben wir beobachtet, dass Cyberkriminelle vermehrt auf Cookie-Diebstahl zurückgreifen, um die zunehmende Verbreitung von MFA zu umgehen. Sie nutzen neue und verbesserte Malware – etwa Raccoon Stealer – um den Diebstahl von Authentifizierungs-Cookies, auch bekannt als Access Tokens, zu vereinfachen", sagt Sean Gallagher, Principal Threat Researcher bei Sophos. „Wenn Angreifende im Besitz von Session-Cookies sind, können sie sich frei in einem Netzwerk bewegen.“
An der Authentifizierung vorbei: „Pass-the-Cookie“-Angriffe
Sitzungs- oder Authentifizierungs-Cookies sind eine bestimmte Art von Cookie, die von einem Webbrowser gespeichert werden, wenn sich ein Benutzer bei Webressourcen anmeldet. Sobald Cyberkriminelle in ihren Besitz gelangen, können sie einen "Pass-the-Cookie"-Angriff durchführen, bei dem sie das Zugriffstoken in eine neue Web-Sitzung einschleusen und dem Browser vorgaukeln, es melde sich ein authentifizierter Benutzer an. Damit ist keine weitere Authentifizierung mehr erforderlich. Da bei der Verwendung von MFA auch ein Token erstellt und in einem Webbrowser gespeichert wird, kann derselbe Angriff verwendet werden, um diese zusätzliche Authentifizierungsebene zu umgehen. Erschwerend kommt hinzu, dass viele legitime webbasierte Anwendungen langlebige Cookies anlegen, die selten oder nie ablaufen; Einige Cookies werden nur dann gelöscht, wenn sich der Benutzer ausdrücklich vom Dienst abmeldet.
Dank Malware-as-a-Service wird es selbst für eher unerfahrene Cyberkriminelle immer einfacher, in das lukrative Geschäft mit dem Diebstahl von Zugangsdaten einzusteigen. Sie müssen beispielsweise nur eine Kopie eines Trojaners wie Raccoon Stealer kaufen, um Daten wie Passwörter und Cookies in großen Mengen zu sammeln und können sie dann auf kriminellen Marktplätzen wie Genesis anbieten. Andere Kriminelle in der Angriffskette, wie z. B. Ransomware-Betreiber, können diese Daten dann kaufen und durchforsten, um alles, was sie für ihre Angriffe als nützlich erachten, zu nutzen.
Der Cookie-Diebstahl wird immer strategischer
Bei zwei der jüngsten Vorfälle, die Sophos untersuchte, verfolgten die Angreifenden hingegen einen gezielteren Ansatz. In einem Fall verbrachten sie Monate im Netzwerk des Zielunternehmens und sammelten Cookies des Microsoft Edge Browsers. Die erste Kompromittierung erfolgte über ein Exploit-Kit. Anschließend nutzten sie eine Kombination aus Cobalt-Strike- und Meterpreter-Aktivitäten, um über ein legitimes Compiler-Tool die Zugriffstoken abzugreifen. In einem anderen Fall nutzten die Angreifenden eine legitime Microsoft-Visual-Studio-Komponente, um eine bösartige Malware abzusetzen, die eine Woche lang Cookie-Dateien abfing.
„Während wir in der Vergangenheit massenhaften Cookie-Diebstahl beobachten konnten, gehen Cyberkriminelle jetzt gezielt und präzise vor, um Cookies zu stehlen. Da ein großer Teil des Arbeitsplatzes inzwischen webbasiert ist, gibt es keine Grenzen für die bösartigen Aktivitäten, die Angreifer:innen mit gestohlenen Sitzungscookies durchführen können. Sie können Cloud-Infrastrukturen manipulieren, geschäftliche E-Mails kompromittieren, andere Mitarbeitende zum Herunterladen von Malware überreden oder sogar Code für Produkte umschreiben. Die einzige Grenze ist ihre eigene Kreativität", so Gallagher. „Erschwerend kommt hinzu, dass es keine einfache Lösung gibt. Zwar können Dienste beispielsweise die Lebensdauer von Cookies verkürzen, was jedoch bedeutet, dass sich die Benutzer:innen häufiger neu authentifizieren müssen. Da Angreifer:innen legitime Anwendungen nutzen, um Cookies abzugreifen, müssen Unternehmen die Erkennung von Malware mit einer Verhaltensanalyse kombinieren."
Um mehr über den Diebstahl von Sitzungscookies zu erfahren und darüber, wie Cyberkriminelle diese Technik ausnutzen, um schädliche Aktivitäten auszuführen, lesen Sie den vollständigen Report "Cookie Stealing: the new perimeter bypass" auf Sophos.com.
Sophos ist ein weltweit führender Anbieter von Next Generation Cybersecurity und schützt mehr als 500.000 Unternehmen und Millionen von Anwendern in mehr als 150 Ländern vor den modernsten Cyberbedrohungen. Basierend auf Threat Intelligence, KI und maschinellem Lernen aus den SophosLabs und von SophosAI bietet Sophos ein breites Portfolio an fortschrittlichen Produkten und Services, um Anwender, Netzwerke und Endpoints vor Ransomware, Malware, Exploits, Phishing und einer Vielzahl anderer Cyberattacken zu schützen. Sophos bietet mit Sophos Central eine einzige, integrierte und cloudbasierte Management-Konsole. Sie ist das Herzstück eines anpassungsfähigen Cybersecurity-Ökosystems mit einem zentralen Data Lake, der eine Vielzahl offener API-Schnittstellen bedient, die Kunden, Partnern, Entwicklern und anderen Cybersecurity-Anbietern zur Verfügung stehen. Sophos vertreibt seine Produkte und Services über Partner und Managed Service Provider (MSPs) weltweit. Der Sophos-Hauptsitz ist in Oxford, U.K. Weitere Informationen unter http://www.sophos.de/.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
